dominio infetto

thewebsurfer · 24-04-2012, 02:45

salve, in un mio dominio, il sito su root e altro sito su sottodominio risultano infetti, con tanto di notifica via email di google.
Il consiglio dell'hosting di reinstallare il cms da 0 per ora è impraticabile, sarebbe un lavoro immane, c'è modo di individuare il malware?

dettagli della videnda:
- una decina di giorni fa mi trovo del codice malevolo sulla pagina index.php del template di joomla, lo individuo (grazie ad un warning di chrome) e lo elimino. Cambio la password di joomla.
- il codice si ripresenta e lo ritolgo: si va avanti così per diversi giorni.
- oggi il problema si ripresenta e me ne accorgo sempre grazie al warning di chrome, solo che ora il messaggio non dice più "richiesta dati sospetta da xxxx.ru" ma "il sito contiene un malware.." infatti anche togliendo il codice malevolo da index.php (e facendo una scansione per verificare se fosse presente in altre pagine) l'avviso malware rimane.
- mi arriva la notifica di google del malware

xcdegasp · 26-04-2012, 16:03

controlla tutti i file .htaccess e i file php sicuramente gli unici incriminati sono quelli con data molto recente, una volta individuati li scarichi in locale e li apri con notepad++ o notetab light o vim e così potrai rimuovere il codice estraneo.
poi li ri uppi

il problema comunque è stato causato da joomla o un componente non aggiornato quindi devi pensare a fare anche l'aggiornamento altrimenti poi ti ritocca rifare il lavoro

thewebsurfer · 26-04-2012, 21:13

Quote:

Originariamente inviato da xcdegasp

controlla tutti i file .htaccess e i file php sicuramente gli unici incriminati sono quelli con data molto recente, una volta individuati li scarichi in locale e li apri con notepad++ o notetab light o vim e così potrai rimuovere il codice estraneo.
poi li ri uppi

il problema comunque è stato causato da joomla o un componente non aggiornato quindi devi pensare a fare anche l'aggiornamento altrimenti poi ti ritocca rifare il lavoro

il problema come ho detto si ripresentava in maniera ciclica, cambiando la password dell'admin di joomla non ho risolto, ma cambiando la password dell'ftp è ormai qualche giorno che sto tranquillo.
spero tu possa dirmi se la mia ipotesi è giusta:
in effetti il problema è cominciato qualche settimana fa che avevo ancora joomla 1.7

aggiornando a 2.5.4 ha continuato a ripresentarsi, suppongo che il buco ormai fosse fatto.
Pensando però a come ho risolto il problema (cambiare password ftp) mi sorge un dubbio: possibile che bucando joomla siano risaliti addirittura alla password dell'ftp? (non dovrebbe essere memorizzata da nessuna parte nel cms, o ricordo male?)

Family Guy · 26-04-2012, 21:31

chrome ti segnala(va) il malware perché il sito era stato messo in blacklist da google, adesso però è pulito

http://safebrowsing.clients.google.c...nabbaitalia.it

Quote:

L'ultima visita di Google a questo sito è stata effettuata in data 2012-04-25 e contenuto sospetto è stato rilevato l'ultima volta in data 2012-04-23.

thewebsurfer · 26-04-2012, 21:41

Quote:

Originariamente inviato da Family Guy

chrome ti segnala(va) il malware perché il sito era stato messo in blacklist da google, adesso però è pulito

http://safebrowsing.clients.google.c...nabbaitalia.it

si lo so, come ho detto ora ho risolto, ma spero cmq con questo thread di togliermi il dubbio che ho posto il post precedente.

Family Guy · 26-04-2012, 21:47

secondo me il "problema" si è risolto quando hai aggiornato joomla (se non l'hai già fatto dovresti aggiornare anche le estensioni ed i temi che utilizzi), solo che chrome ti segnalava il sito infetto a causa della blacklist (che come ti ho fatto notare ci mette alcuni giorni a correggersi)

la password ftp non c'entra

thewebsurfer · 26-04-2012, 21:58

Quote:

Originariamente inviato da Family Guy

secondo me il "problema" si è risolto quando hai aggiornato joomla (se non l'hai già fatto dovresti aggiornare anche le estensioni ed i temi che utilizzi), solo che chrome ti segnalava il sito infetto a causa della blacklist (che come ti ho fatto notare ci mette alcuni giorni a correggersi)

la password ftp non c'entra

no, il codice malevolo si è presentato anche con tutti i componenti e joomla aggiornati.
il sito è stato blacklistato quando già avevo risolto in pratica.

Family Guy · 26-04-2012, 22:01

comunque mi sembra ci sia ancora qualcosa che non va... su questo sottodominio mi indica ancora joomla obsoleto:
http://sitecheck.sucuri.net/results/...nabbaitalia.it

thewebsurfer · 26-04-2012, 22:18

Quote:

Originariamente inviato da Family Guy

comunque mi sembra ci sia ancora qualcosa che non va... su questo sottodominio mi indica ancora joomla obsoleto:
http://sitecheck.sucuri.net/results/...nabbaitalia.it

boh è tutto aggiornato, c'era un componente che non uso che non lo era, ma ora pure quello ho aggiornato

24-04-2012, 02:45	#1
thewebsurfer Senior Member Iscritto dal: Nov 2006 Città: Salerno Messaggi: 4256	dominio infetto salve, in un mio dominio, il sito su root e altro sito su sottodominio risultano infetti, con tanto di notifica via email di google. Il consiglio dell'hosting di reinstallare il cms da 0 per ora è impraticabile, sarebbe un lavoro immane, c'è modo di individuare il malware? dettagli della videnda: - una decina di giorni fa mi trovo del codice malevolo sulla pagina index.php del template di joomla, lo individuo (grazie ad un warning di chrome) e lo elimino. Cambio la password di joomla. - il codice si ripresenta e lo ritolgo: si va avanti così per diversi giorni. - oggi il problema si ripresenta e me ne accorgo sempre grazie al warning di chrome, solo che ora il messaggio non dice più "richiesta dati sospetta da xxxx.ru" ma "il sito contiene un malware.." infatti anche togliendo il codice malevolo da index.php (e facendo una scansione per verificare se fosse presente in altre pagine) l'avviso malware rimane. - mi arriva la notifica di google del malware __________________ NABBA Italia Federazione Nazionale di Body Building, Fitness, Cultura sportiva, Educazione alimentare

26-04-2012, 16:03	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	controlla tutti i file .htaccess e i file php sicuramente gli unici incriminati sono quelli con data molto recente, una volta individuati li scarichi in locale e li apri con notepad++ o notetab light o vim e così potrai rimuovere il codice estraneo. poi li ri uppi il problema comunque è stato causato da joomla o un componente non aggiornato quindi devi pensare a fare anche l'aggiornamento altrimenti poi ti ritocca rifare il lavoro __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 26-04-2012 alle 16:05.

26-04-2012, 21:47	#6
Family Guy Senior Member Iscritto dal: Aug 2009 Messaggi: 2364	secondo me il "problema" si è risolto quando hai aggiornato joomla (se non l'hai già fatto dovresti aggiornare anche le estensioni ed i temi che utilizzi), solo che chrome ti segnalava il sito infetto a causa della blacklist (che come ti ho fatto notare ci mette alcuni giorni a correggersi) la password ftp non c'entra

26-04-2012, 22:01	#8
Family Guy Senior Member Iscritto dal: Aug 2009 Messaggi: 2364	comunque mi sembra ci sia ancora qualcosa che non va... su questo sottodominio mi indica ancora joomla obsoleto: http://sitecheck.sucuri.net/results/...nabbaitalia.it

Strumenti
Mostra una versione stampabile Invia questa pagina per email